Voor de liefhebber... 10 security tips op een rij.
1. Zorg dat de website en de uitbreidingen up-to-date zijn.
bekende bugs zijn verholpen, maar onbekende niet (website is nooit 100% waterdicht).
2. Controleer bij je provider of je de laatste php versie gebruikt die zij aanbieden.
Dit kun je bij sommige providers in htaccess instellen.
3. Neem
verschillende sterke wachtwoorden voor je control panel (provider), website beheer (backend), database user, FTP user, en mailbox die je website gebruikt.
4. Gebruik geen 'admin' als gebruikersnaam voor het beheer!
5. Wijzig de naam van de map van je backend beheer.
www.domein.nl/wp-admin of
www.domein.nl/admin zijn zo voorspelbaar.
6. Permissies: mappen maximaal 755, bestanden 444, tenzij het echt niet anders kan. Als je toch writable mappen/bestanden moet gebruiken, probeer deze dan voor de buitenwereld af te schermen (htaccess) met een "deny from all" voor deze mappen/bestanden.
7. Gebruik je een php/html website, blokkeer dan de rest.
Code:
# block access to cgi,perl,python,txt except robots.txt
<FilesMatch “.(cgi|pl|py|txt)”>
Deny from all
</FilesMatch>
<FilesMatch robots.txt>
Allow from all
</FilesMatch>
8. Perl bots kunnen een backdoor achterlaten en daarna weer makkelijk hacken.
Code:
# block perl bots
SetEnvIfNoCase User-Agent libwww-perl bad_bots
order deny,allow
deny from env=bad_bots
9. Natuurlijk de "Pagina niet gevonden"...
Code:
# Page not found
ErrorDocument 404 http://www.domein.nl/404.html
10. Zorg voor een goede beveilinging in je htaccess.
Zie de htaccess code in mijn vorige berichtje.
Veel succes. Heb je tips, verbeteringen of aanvullingen? Laat het dan graag weten.
**aanvulling**
11. Zet in mapjes die geen "index.__" bestand hebben een dummy "index.html"
In dit bestand staat geen html, alleen maar <!--dummy-->